A Runauto.F féreg elsősorban cserélhető adattárolókon, főként pendrive-okon keresztül terjed, és egy hátsó kaput nyit a fertőzött rendszereken.

A Runauto.F féreg víruskereső alkalmazás nélkül nem igazán kelt gyanút, ugyanis egy jpg kiterjesztésű állománynak álcázza magát. A cserélhető meghajtókon terjedő kártevő természetesen arról is gondoskodik, hogy a fertőzött adattárolók minden egyes csatlakoztatásakor automatikusan be tudjon töltődni.

A Runauto.F féreg a regisztrációs adatbázis módosításával megváltoztat egyes, képállományokkal kapcsolatos beállítást, majd a Windows biztonsági konfigurációján is állítgat. Ezzel például megváltoztatja a Windows Biztonsági Központjának a viselkedését is.

Az Isidor Biztonsági Központ szerint a féreg leginkább abban különbőzik a hasonló viselkedéssel rendelkező társaitól, hogy a képállományok mögé való rejtőzködése miatt nehezebb felismerni. Emellett azonban van még egy másik veszélyes jellemzője is. Mégpedig, hogy egy hátsó kaput nyit a támadók számára, akik ezen keresztül különféle műveleteket hajthatnak végre a fertőzött rendszereken.

Amikor a Runauto.F féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza következő állományokat:
%System%\winjpg.jpg
%SystemDrive%\winfile.jpg
%SystemDrive%\autorun.inf
%System%\winxp.exe

2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"CTFMON" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"

3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\"regdiit" = "%System%\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\"abu salem" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00
5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 77 00 69 00 6E 00 78 00 70 00 2E
00 65 00 78 00 65 00"

4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe\"Debugger" = "%System%\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSConfig.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\"Debugger" = "\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg"

5. A biztonsági szint csökkentése érdekében a regisztrációs adatbázisban megváltoztatja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\"Enabled" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\
Hidden\SHOWALL\"CheckedValue" = "1"
HKEY_USERS\S-1-5-21-1110976373-127614085-1323839693-500\Software\Microsoft\Windows\
CurrentVersion\ Policies\Explorer\"NoDriveTypeAutoRun" = "0"

6. Megpróbál cserélhető meghajtókon keresztül terjedni. Minden cserélhető adattároló gyökér könyvtárába létrehoz egy winfile.jpg és egy autorun.inf nevű állományt.